什么是證書(shū)吊銷(xiāo)列表？

證書(shū)吊銷(xiāo)列表（Certificate Revocation List，CRL）是在網(wǎng)絡(luò)中使用公鑰結(jié)構(gòu)存取服務(wù)器的兩種常用方法中的一個(gè)。 英文：Certificate Revocation List 簡(jiǎn)稱(chēng)：CRL 出處：ITU/T X.509 ISO/IEC 9594-8：2001，GB/T 16264.8-2005 定義：一個(gè)被簽署的列表，它指定了一套證書(shū)發(fā)布者認(rèn)為無(wú)效的證書(shū)。除了普通CRL外，還定義了一些特殊的CRL類(lèi)型用于覆蓋特殊領(lǐng)域的CRL。 解釋?zhuān)篊RL一定是被CA所簽署的，可以使用與簽發(fā)證書(shū)相同的私鑰，也可以使用專(zhuān)門(mén)的CRL簽發(fā)私鑰。CRL中包含了被吊銷(xiāo)證書(shū)的序列號(hào)。 證書(shū)吊銷(xiāo) 證書(shū)具有一個(gè)指定的壽命，但 CA 可通過(guò)稱(chēng)為證書(shū)吊銷(xiāo)的過(guò)程來(lái)縮短這一壽命。CA 發(fā)布一個(gè)證書(shū)吊銷(xiāo)列表 (CRL)，列出被認(rèn)為不能再使用的證書(shū)的序列號(hào)。CRL 指定的壽命通常比證書(shū)指定的壽命短得多。CA 也可以在 CRL 中加入證書(shū)被吊銷(xiāo)的理由。它還可以加入被認(rèn)為這種狀態(tài)改變所適用的起始日期。 可將下列情況指定為吊銷(xiāo)證書(shū)的理由： 1、泄露密鑰。 2、泄露 CA。 3、從屬關(guān)系改變。 4、被取代。 5、業(yè)務(wù)終止。 證書(shū)持有（這是唯一能夠改變被吊銷(xiāo)證書(shū)狀態(tài)的理由碼，在證書(shū)狀態(tài)有問(wèn)題的情況下非常有用）。 由 CA 吊銷(xiāo)證書(shū)意味著，CA 在證書(shū)正常到期之前撤銷(xiāo)其允許使用該密鑰對(duì)的有關(guān)聲明。在吊銷(xiāo)的證書(shū)到期之后，CRL 中的有關(guān)條目被刪除，以縮短 CRL 列表的大小。 在驗(yàn)證簽名期間，應(yīng)用程序可以檢查 CRL，以確定給定證書(shū)和密鑰對(duì)是否仍然可信（有些應(yīng)用程序使用 CryptoAPI 中的 Microsoft 證書(shū)鏈驗(yàn)證 API 來(lái)完成此任務(wù)）。如果不可信，應(yīng)用程序可以判斷吊銷(xiāo)的理由或日期對(duì)使用有疑問(wèn)證書(shū)是否有影響。如果該證書(shū)被用來(lái)驗(yàn)證簽名，且簽名的日期早于 CA 吊銷(xiāo)該證書(shū)的日期，那么該簽名仍被認(rèn)為是有效的。 應(yīng)用程序獲得 CRL 之后，由客戶機(jī)緩存 CRL ，在它到期之前客戶機(jī)將一直使用它。如果 CA 發(fā)布了新的 CRL，擁有有效 CRL 的應(yīng)用程序并 不 使用新的 CRL，直到應(yīng)用程序擁有的 CRL 到期為止。